/
  • Última atualização
/
  • 24 min de leitura

Guia de mitigação de vulnerabilidades do Microsoft Exchange 0-Day: O que saber & Faça agora

by Jonathan Crowe, Director of Community & Advocacy
Guide zur Minimierung von Zero-Day-Schwachstellen in Microsoft Exchange

Resumo instantâneo

Resumir o blog

Esta postagem do blog NinjaOne oferece uma lista abrangente de comandos CMD básicos e um mergulho profundo nos comandos do Windows, com +70 comandos CMD essenciais para usuários iniciantes e avançados. Explicamos sobre comandos práticos de prompt de comando para gerenciamento de arquivos, navegação em diretórios, solução de problemas de rede, operações de disco e automação, tudo com exemplos reais para maximizar a produtividade. Seja para aprender comandos básicos CMD ou dominar ferramentas avançadas de CLI do Windows, este guia ajuda você a usar o prompt de comando com mais eficiência.

Teste grátis

Banner de alerta de segurança MSP

Atualizado em 16 de março de 2021. 

Na terça-feira, 2 de março, a Microsoft anunciou que havia detectado uma série de quatro explorações de vulnerabilidades de dia zero que estavam sendo ativamente usadas para atacar versões do Exchange Server local. Os patches estão disponíveis e as organizações estão sendo fortemente aconselhadas a identificar, atualizar e verificar os sistemas vulneráveis o mais rápido possível.

Criamos esta postagem para coletar recursos e informações relacionadas e a atualizaremos regularmente.

Conteúdo

 

Visão geral

A seguir, há ótimos resumos e tópicos a serem seguidos para se atualizar:

 

Informações sobre ameaças de empresas de segurança

Caçadora
Exploração em massa de servidores Exchange locais (thread no r/msp)

Tópico de resposta rápida da Huntress voltado especificamente para MSPs, incluindo informações sobre ameaças e descobertas do exame de sua própria base de parceiros. A Huntress está atualizando ativamente à medida que novas informações são disponibilizadas.

A Huntress também organizou um webinar em 4 de março, às 13h (horário de Brasília), e apresentou um resumo de suas pesquisas e observações até o momento. Assista sob demanda aqui.

Volexidade
Operação Exchange Marauder: Exploração ativa de várias vulnerabilidades de dia zero do Microsoft Exchange

Um dos primeiros a identificar (6 de janeiro!) e relatar essa atividade. Esta publicação fornece mais detalhes sobre como as vulnerabilidades estão sendo realmente exploradas, bem como uma pequena lista de táticas, técnicas e procedimentos (TTPs) observados após a exploração. Ele também fornece IoCs adicionais.

FireEye
Detecção e resposta à exploração de vulnerabilidades de dia zero do Microsoft Exchange

Também confirma a observação de abuso em janeiro e contém outra boa análise técnica dos ataques. Contém dicas adicionais para investigar possíveis comprometimentos (veja abaixo).

Canário Vermelho
Exploração do servidor Microsoft Exchange: Como detectar, mitigar e manter a calma

Fornece um detalhamento da atividade de ameaça pós-exploração que o Red Canary identificou, juntamente com oportunidades práticas de detecção e recomendações de correção.

CrowdStrike
Falcon Complete interrompe as explorações de dia zero do Microsoft Exchange Server

Se você conseguir superar o título e o ângulo de vendas, esta publicação fornecerá detalhes técnicos adicionais, IoCs e uma boa recapitulação da descoberta e da busca de ameaças.

 

Quais são as vulnerabilidades?

A Microsoft identificou quatro vulnerabilidades que estão sendo exploradas ativamente, mas a atualização de segurança fora de banda da empresa também aborda três vulnerabilidades adicionais de execução remota de código (RCE) que não foram associadas aos ataques ativos.

Acesso inicial

CVE-2021-26855 

CVSSv3: 9.1

Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que invasores remotos enviem solicitações HTTP arbitrárias e se autentiquem como o servidor do Exchange.

De acordo com a empresa de segurança Volexity:

Essa vulnerabilidade pode ser explorada remotamente e não exige autenticação de nenhum tipo, nem conhecimento ou acesso especial a um ambiente-alvo. O invasor só precisa conhecer o servidor que executa o Exchange e a conta da qual deseja extrair o e-mail.

A exploração bem-sucedida dessa vulnerabilidade dá a um invasor a oportunidade de explorar as três vulnerabilidades adicionais abaixo.

Execução de código remoto (RCE) pós-autenticação

CVE-2021-26857

CVSSv3: 7.8

De acordo com a Tenable, a falha está no Exchange Unified Messaging Service, que permite a funcionalidade de correio de voz, além de outros recursos. Ele permite executar código como SYSTEM no servidor Exchange, mas requer permissão do administrador ou outra vulnerabilidade para ser explorado.

CVE-2021-26858

CVSSv3: 7.8

Se os invasores conseguirem se autenticar no servidor Exchange (explorando o CVE-2021-26855 ou comprometendo as credenciais de um administrador legítimo), eles poderão usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor.

CVE-2021-27065

CVSSv3: 7.8

Idem.

 

Notas sobre a atividade pós-exploração

Como relataram a FireEye, a Volexity e outros, os invasores abusaram dessas vulnerabilidades para lançar shells da Web, incluindo variantes do China Chopper. Isso dá aos atacantes a capacidade de preparar o cenário e realizar uma variedade de atividades pós-exploração.

As TTPs observadas incluem:

  • Roubo de credenciais usando o ProcDump (ferramenta legítima do Windows Sysinternals) para despejar a memória do processo LSASS
  • Exfiltração de dados, incluindo . Catálogos de endereços off-line do Exchange
  • Exportação de dados de caixa de correio por meio de snap-ins do Exchange PowerShell
  • Estabelecimento de acesso remoto via PowerCat e outras estruturas de ataque

Para obter mais informações sobre a atividade de ameaças pós-exploração, consulte a pesquisa da Red Canary.

 

vulnerabilidades “bônus” não relacionadas

Além dessas vulnerabilidades de dia zero, a Microsoft também corrigiu as seguintes falhas de RCE não relacionadas:

  • CVE-2021-26412 (CVSSv3: 9.1)
  • CVE-2021-26854 (CVSSv3: 6.6)
  • CVE-2021-27078 (CVSSv3: 9.1)

 

Quais versões do Exchange são afetadas?

Como a Huntress disse sucintamente durante seu webinar: todos eles.

quais versões do Exchange são vulneráveis

  • Exchange Server 2010
  • Exchange Server 2013
  • Exchange Server 2016
  • Exchange Server 2019

Observação: A Microsoft confirmou que o Exchange Online NÃO foi afetado.

Qual é o grau de disseminação dos ataques?

Apesar de a Microsoft ter inicialmente descrito os ataques como sendo “limitados e direcionados”, as descobertas subsequentes de outros fornecedores e pesquisadores indicam que a atividade tem sido muito mais ampla e indiscriminada.

Atualizar: Estima-se que pelo menos 30.000 organizações dos EUA tenham sido comprometidas

Na sexta-feira, 5 de março, Brian Krebs informou que várias fontes estavam estimando que centenas de milhares de organizações haviam sido comprometidas em todo o mundo, com 30.000 organizações comprometidas somente nos EUA.

O jornalista da Wired, Andy Greenberg, confirmou posteriormente:

O U.S. Computer Emergency Readiness Team (US-CERT) caracterizou a exploração como generalizada e enfatizou que todas as organizações de todos os setores devem seguir as orientações de mitigação.

 

As organizações comprometidas incluem governos locais e uma grande variedade de pequenas e médias empresas

De acordo com o pesquisador sênior da Huntress, John Hammond, as vítimas comprometidas que eles identificaram incluem pequenos hotéis, uma empresa de sorvetes, uma fabricante de utensílios de cozinha, várias comunidades de idosos e outras empresas de médio porte “não muito atraentes”. A Huntress também observou muitas vítimas de governos municipais e distritais, prestadores de serviços de saúde, bancos/instituições financeiras e vários fornecedores de eletricidade residencial.

Dos cerca de 2.000 servidores Exchange que eles investigaram, quase 200 foram comprometidos com a presença de payloads de shell da Web.

Vários grupos de agentes de ameaças estão abusando ativamente das vulnerabilidades

Embora a Microsoft tenha atribuído a campanha que observou com alta confiança ao agente de ameaças HAFNIUM, baseado na China, a ESET relatou ter visto outros grupos entrando na mistura.

 

 

Atualizar: A ESET divulgou uma nova pesquisa que indica que pelo menos 10 grupos APT estão explorando ativamente as vulnerabilidades.

Primeiros ataques identificados em 6 de janeiro de 2021

Brian Krebs elaborou uma linha do tempo de alto nível que indica que a Microsoft foi notificada de uma das vulnerabilidades em 5 de janeiro. Um dia depois, a empresa de segurança Volexity identificou ataques em estado selvagem.

  • 5 de janeiro: DEVCOR alerta a Microsoft sobre suas descobertas.
  • 6 de janeiro: Volexity detecta ataques que usam vulnerabilidades desconhecidas no Exchange.
  • 8 de janeiro: DEVCOR informa que a Microsoft reproduziu os problemas e verificou suas descobertas.
  • 11 de janeiro: DEVCOR adquire proxylogon.com, um domínio agora usado para explicar seu processo de descoberta de vulnerabilidades.
  • 27 de janeiro: Dubex alerta a Microsoft sobre ataques a uma nova falha no Exchange.
  • 29 de janeiro: A Trend Micro publica umapostagem no blog sobre os web shells “Chopper” que estão sendo descartados por meio de falhas no Exchange.
  • 2 de fevereiro: A Volexity alerta a Microsoft sobre ataques ativos a vulnerabilidades do Exchange anteriormente desconhecidas.
  • 8 de fevereiro: A Microsoft informa à Dubex que “escalou” seu relatório internamente.
  • 18 de fevereiro: A Microsoft confirma com a DEVCOR a data prevista de 9 de março (amanhã) para a publicação de atualizações de segurança para as falhas do Exchange. Essa é a segunda terça-feira do mês – também conhecida como. “Patch Tuesday“, quando a Microsoft lança atualizações mensais de segurança (e sim, isso significa que você deve voltar aqui amanhã para ver o sempre fascinanteresumo doPatchTuesday em ).
  • 26 e 27 de fevereiro: A exploração direcionada gradualmente se transforma em uma varredura global em massa; os atacantes começam a fazer backdooring rapidamente em servidores vulneráveis.
  • 2 de março: Uma semana antes do planejado anteriormente, a Microsoft lança atualizações para corrigir 4 falhas de dia zero.
  • 3 de março: Dezenas de milhares de servidores do Exchange foram comprometidos em todo o mundo, com milhares de outros servidores sendo invadidos a cada hora.
  • 5 de março: KrebsOnSecurity divulga a notícia de que pelo menos 30.000 organizações nos EUA – e centenas de milhares em todo o mundo – agora têm backdoors instalados.
  • 5 de março: Wired.com confirma o número de vítimas relatado. A Casa Branca expressa preocupação com o tamanho do ataque. Ex-chefe da CISA Chris Krebs tweets os números reais de vítimas “diminuem” o que foi relatado publicamente.
  • 6 de março: CISAdiz que está ciente da “exploração nacional e internacional generalizada das falhas do Microsoft Exchange Server”
  • 7 de março até o momento: Os especialistas em segurança continuam se esforçando para notificar as vítimas, coordenar a correção e permanecer vigilantes quanto ao “Estágio 2” desse ataque (exploração adicional de servidores já comprometidos).

Linha do tempo criada por Brian Krebs

 

Atualizar: Novas pesquisas indicam que a exploração pode se estender até novembro de 2020.

atualização do cronograma de exploração de câmbio

Fonte: Examinando a Exploração de Câmbio e suas Lições para os Defensores por Joe Slowik

 

Como fazer o patch

Opções de atualização do Microsoft Exchange

Gráfico da Microsoft ilustrando três caminhos para aplicar atualizações do Exchange

 

As atualizações de segurança que abordam essas vulnerabilidades estão disponíveis para as seguintes versões específicas do Exchange:

Observação: Se você estiver instalando-os manualmente, precisará fazê-lo como administrador. Caso contrário, há um problema conhecido. Como aponta o pesquisador de segurança da Microsoft Kevin Beaumont, tem havido alguma confusão sobre a necessidade de ter servidores executando uma das duas últimas atualizações cumulativas (CU).

A Microsoft fornece mais clareza aqui:

Essas correções podem ser instaladas somente em servidores que estejam executando as versões específicas listadas anteriormente, que são consideradas atualizadas. Se os servidores estiverem executando atualizações cumulativas ou de rollup mais antigas do Exchange Server, será necessário instalar uma RU/CU com suporte atual antes de instalar as atualizações de segurança.

Precisa de ajuda para encontrar o CU certo para instalar?

Michel de Rooij é um herói e tem links de download para atualizações cumulativas listadas por versões do Exchange que também incluem números de compilação e datas de lançamento.

Atualizar: Em uma UC fora do suporte e não consegue obter as atualizações mais recentes?

A Microsoft começou a fornecer atualizações de segurança (SUs) que podem ser aplicadas a algumas UCs mais antigas e sem suporte. Essas atualizações contêm apenas correções para os CVEs de dia zero e estão disponíveis apenas no Microsoft Download Center (não no Microsoft Update). Você pode encontrar mais detalhes e instruções de instalação aqui.

Observação: A Microsoft enfatiza que essas SUs são, “destinadas apenas como uma medida temporária para ajudá-lo a proteger máquinas vulneráveis no momento”. Você ainda precisa atualizar para a última UC compatível e, em seguida, aplicar as SUs aplicáveis.”

** Se você não puder aplicar o patch imediatamente, faça isso como uma atenuação temporária

Para as organizações que não podem aplicar o patch, a Microsoft forneceu a seguinte recomendação como uma mitigação provisória:

Implemente uma regra de reescrita do IIS e desative os serviços de VDir do Unified Messaging (UM), do Exchange Control Panel (ECP) e do Offline Address Book (OAB)

  • Essas atenuações têm algum impacto conhecido na funcionalidade descrita abaixo em detalhes.
  • Essas atenuações são eficazes contra os ataques que vimos até agora na natureza, mas não é garantido que sejam atenuações completas para todas as explorações possíveis dessas vulnerabilidades.
  • Isso não expulsará um adversário que já tenha comprometido um servidor.
  • Isso deve ser usado apenas como uma atenuação temporária até que os servidores do Exchange possam ser totalmente corrigidos.

Detalhes e scripts do PowerShell fornecidos pela Microsoft aqui.

** Observação: Nem a aplicação de patches nem essas atenuações resolverão os comprometimentos **

Como a Microsoft enfatiza, isso não é uma correção se seus servidores Exchange já tiverem sido comprometidos. Para obter ajuda para determinar isso, consulte abaixo.

** Atualização: A Microsoft lança uma “ferramenta de atenuação com um clique” projetada para organizações sem equipes internas de TI ou de segurança **

Os detalhes da ferramenta podem ser encontrados na Microsoft aqui.

Identificação de servidores vulneráveis

Devido ao volume de varredura e exploração ativas, combinado com o risco envolvido, a Huntress e outros provedores de segurança estão aconselhando a confiar, mas verificar. Os patches devem ser validados e os MSPs devem examinar ativamente as redes de seus clientes para garantir que não haja um servidor surpresa que tenha sido esquecido. Basta apenas um.

Kevin Beaumont desenvolveu um script simples do Nmap que você pode utilizar aqui.

 

 

Observação: Se você usou o script acima para verificar ambientes com o Exchange 2013 anteriores a 7 de março, deverá verificar novamente. 

Os pesquisadores da Rapid7 identificaram uma falha no script que fazia com que ele relatasse falsos negativos para servidores Exchange 2013, especificamente.

Desde então, o script foi atualizado e o problema foi resolvido.

Se você for um cliente pagante do Shodan Monitor, poderá até mesmo receber automaticamente uma notificação se um servidor vulnerável for detectado.

 

Identificação e investigação de comprometimentos

Atualizar: A Microsoft atualizou sua ferramenta MSERT (Microsoft Support Emergency Response Tool) para detectar e remover malware associado ao comprometimento.

Essa é uma ótima notícia, pois oferece proteção para organizações com servidores que não têm o Defender para Endpoint instalado.

A Microsoft também delineou uma variedade de oportunidades de detecção e criou um script que pode ser usado para verificar os arquivos de registro do Exchange em busca delas.

Você também pode encontrar listas de IoCs aqui:

Além de fornecer IoCs, a FireEye também recomenda verificar o seguinte quanto a possíveis evidências de comprometimento:

  • Processos filhos de C: WindowsSystem32inetsrvw3wp.exe em Exchange Servers, especialmente cmd.exe.
  • Arquivos gravados no sistema por w3wp. exe ou UMWorkerProcess.exe.
  • Arquivos ASPX pertencentes ao usuário SYSTEM
  • Arquivos ASPX compilados novos e inesperados no diretório Temporary ASP.NET Files
  • Reconhecimento, solicitações de teste de vulnerabilidade para os seguintes recursos a partir de um endereço IP externo:
    • diretório /rpc/
    • /ecp/DDI/DDIService.svc/SetObject
    • Recursos inexistentes
    • Com agentes de usuário HTTP suspeitos ou falsificados
  • Solicitações inesperadas ou suspeitas do SnapIn do Exchange PowerShell para exportar caixas de correio

** Se você suspeitar que um servidor foi comprometido

  • Inicie seu plano de resposta a incidentes / entre em contato com um provedor de resposta a incidentes (não hesite em obter ajuda de especialistas se não tiver experiência em RI internamente)
  • Isolar o servidor
  • A FireEye recomenda a preservação dos seguintes artefatos para análise forense
    • Pelo menos 14 dias de registros da Web HTTP dos diretórios inetpubLogsLogFiles (inclua os registros de todos os subdiretórios)
    • O conteúdo do Exchange Web Server (também encontrado na pasta inetpub )
    • Pelo menos 14 dias de registros do Exchange Control Panel (ECP), localizados em Program FilesMicrosoftExchange Serverv15LoggingECPServer
    • Registros de eventos do Microsoft Windows
  • Restaurar o Exchange para antes do primeiro incidente conhecido(os relatórios atuais indicam 5 de janeiro)
  • Patch ou aplicação de mitigações provisórias
  • Realize uma auditoria completa para verificar o seguinte:
    • Novos usuários e usuários privilegiados(use o RMM e o PowerShell)
    • Datas de alteração de senha
    • Encaminhamento de caixas de correio
    • Encaminhamento/redirecionamentos em pastas da caixa de entrada
  • Alterar senhas de domínio
  • Mantenha-se vigilante e atualizado sobre as informações de novas ameaças

 

Vídeo: Atualize-se rapidamente com John Hammond, da Huntress

Tive a oportunidade de conversar com John sobre a pesquisa de sua equipe, ouvir o que o surpreendeu e obter suas recomendações sobre como os MSPs devem reagir.

Transcrição

Jônatas: Olá a todos. Tenho comigo John Hammond, da Huntress. E, é claro, o tópico sobre o qual estamos falando é o Microsoft Exchange e as vulnerabilidades de dia zero que estão sendo ativamente exploradas. Foi uma semana louca. John, a essa altura, você está correndo com pura adrenalina e fumaça. Vocês estão acordados há dias. Você iniciou um tópico no Reddit e tem se dedicado a isso desde o início, atualizando-o constantemente com as coisas que está descobrindo. Como você está se saindo? Como está se saindo?

John: Obrigado, Jônatas. Estou indo bem. Estamos meio que funcionando a todo vapor. Eu estava brincando com você antes. Tenho minha bebida energética aqui. Apenas para me manter atualizado. Mas estamos nos mantendo ocupados. Estamos tentando atualizar os indicadores de comprometimento. Estamos tentando produzir um webinar que será transmitido ao vivo hoje à tarde, às 13h (horário de Brasília). Portanto, estamos apenas tentando educar a comunidade e divulgar a conscientização.

Jônatas: Sim. Claro! Vou incluir um link para o tópico do Reddit, porque vocês fizeram um trabalho incrível, incluindo o que disseram sobre IOCs e também atualizações do que descobriram em seu lado, e foi realmente durante a noite que vocês ligaram para os parceiros às 2h da manhã para ajudá-los a descobrir essas coisas, e vimos muitas perguntas circulando e, a essa altura, acho que é seguro dizer que muitas pessoas deram os primeiros passos. Existem algumas ferramentas que as pessoas compartilham sobre varredura apenas para descobrir servidores vulneráveis. Há patches da Microsoft, mas há muitas dúvidas. Ok, se eu encontrei os IOCs, o que devo fazer agora? Você tem alguma sugestão sobre o que viu, em primeiro lugar, com esses IOCs e, depois, sobre as medidas de mitigação?

John: Sim. Portanto, o óbvio imediato é o patch. Depois de fazer isso, se você puder validar o patch, essa é a próxima etapa. Kevin Beaumont lançou um excelente mecanismo de script do Nmap, um utilitário que você pode usar com o Nmap para validar externamente e certificar-se de que você não está mais vulnerável e, depois disso, fazer a resposta típica de restauração necessária. Se possível, restaure seu Exchange Server antes do primeiro incidente conhecido. Revise seu domínio. Usuários e computadores, certifique-se de que não haja nenhuma alteração ou modificação, novos administradores nos grupos do Exchange. Isso é fundamental. E altere todas as senhas de domínio. Dizemos isso o tempo todo, mas você precisa fazer isso. Enxágue e repita, limpe as coisas e monitore esses IOCs, mantenha-se atualizado com a inteligência sobre ameaças. E se você vir algo novo, se você vir, oh, eu tenho um webshell diferente que usa um argumento diferente em que vejo um endereço IP diferente sendo comunicado. Sim, sabemos que isso é ruim, mas, por favor, informe a comunidade. Conte para o restante de nós para que possamos continuar a caçada, pois é disso que se trata.

Jônatas: Vocês têm contribuído muito para a comunidade fazendo isso, assumindo a liderança e realmente compartilhando muitas dessas informações. Há alguma novidade nesse sentido que você esteja vendo em termos de IOCs ou novas atividades, agora que o gato está meio que fora do saco?

John: Com certeza. Portanto, estamos lutando contra isso o máximo que podemos, certo. Quando estamos compartilhando essas informações, é bom e maravilhoso ver que outras pessoas confiam na Huntress. Assim, à medida que vemos novos parceiros e novas pessoas conhecerem nosso painel. Nosso inventário de servidores Exchange está aumentando, portanto, no último dia, vimos um acréscimo de mil novos servidores Exchange, o que eleva nosso número para cerca de 3.000, e o número de comprometimentos também aumenta. Agora, temos cerca de 300 ou mais e estamos mantendo o controle de quais versões estão disponíveis? Quantos foram corrigidos? Acho que temos cerca de 900 pessoas em um grupo de 3.000, mas é incrível ver as estatísticas. É incrível ver os dados, mas isso mostra que essa ameaça ainda existe. Os hosts infectados ainda estão sendo infectados. Os invasores estão examinando a Internet e isso ainda não chegou ao fim.

John: Nesse ponto, voltando rapidamente ao anúncio da Microsoft. Eles enfatizam que isso ocorreu pelo menos quando anunciaram uma exploração limitada e direcionada. Eles estavam vendo e, é claro, agora, suas descobertas indicam que talvez isso seja um pouco mais amplo. Quero dizer, estamos vendo uma variedade de vítimas aqui, parece que isso é meio indiscriminado. Talvez não no início, mas pelo menos neste momento.

John: Eu tendo a concordar. Na verdade, essa menção da Microsoft é: ei, são ataques limitados e direcionados. Na verdade, discordamos. Estamos vendo isso em uma escala um pouco maior entre toda a gama de produtos, certo? Isso abrange desde sorveterias, pequenos hotéis, a loja familiar da esquina até o governo, organizações governamentais municipais e distritais, instituições financeiras e bancárias, prestadores de serviços de saúde e até mesmo fornecedores de energia elétrica. Pelo que vimos, isso está em toda parte. E isso causou muito sofrimento, obviamente, com os clientes e com os MSPs. Quero dizer, esta foi uma semana frenética para muitas pessoas, mesmo para muitos MSPs que migraram a maioria de seus clientes e têm um punhado de servidores que ainda estão lá fora.

Jônatas: Outra questão que surge: atividade pós-exploração. O que esses caras estavam tentando fazer? Há muitas perguntas sobre isso em termos de pessoas que encontraram webshells. Há alguma outra atividade? Vimos a Microsoft fazer referência a algumas outras ferramentas de ataque, sendo o Procdump uma delas, e algumas estruturas de exploração sendo abandonadas em alguns casos. Vocês viram essas coisas e alguma outra indicação de atividade adicional que possam compartilhar?

John: Pessoalmente, ainda não pudemos nos aprofundar em toda a exploração da postagem ou no que os invasores estão fazendo em seguida, na verdade. Nós apenas nos concentramos e damos um zoom em algo como “ei, isso é ruim”. Sabemos que isso é ruim. Temos que tirá-la de lá, mas a partir da inteligência de ameaças da comunidade. Estamos vendo essas instâncias do Procdump ou ele tentará obter credenciais ou hashes da memória. Estamos vendo o tipo de utilidade do net.exe, a ferramenta de linha de comando do Windows, alguns binários para adicionar e remover administradores, ou algumas ferramentas do Powersploit ou do Powercat para conseguir obter conexões para frente e para trás. Estamos vendo shells reversos por meio do PowerShell. Certamente houve mais do que isso, mas não sabemos exatamente. Qual será o próximo passo? Eles têm controle de comando. Eles têm acesso remoto RCE com esse webshell. Isso significa ransomware? Isso significará a exfiltração de dados? Isso significará a mineração de criptomoedas? Ainda não temos certeza, mas continuamos na luta.

Jônatas: Bem, John, muito obrigado por participar. Vocês vão analisar muito do que descobriram e com muito mais detalhes hoje, às 13h (horário de Brasília), em seu webinar. Enviaremos um link para que as pessoas possam registrá-lo. Muito obrigado pelo seu tempo e muito obrigado a você e a todos da Huntress pelo que vocês fazem. Ficamos muito gratos.

John: Muito obrigado, Jônatas.

Teste gratuito
Manual de proteção de endpoints

Recomendados para você

Automatiser la gestion des correctifs

Como automatizar o gerenciamento de patches

How to secure IoT devices blog banner

Como proteger os dispositivos de IoT

Sicurezza IoT

A importância da segurança da IoT: Dicas para MSPs e equipes de TI

Log di Linux

Entendendo os logs do Linux: Visão geral com exemplos

Software regression blog banner

Como a regressão de software afeta os MSPs

Skull and cross bones inside an envelope representing email spoofing

Compreensão e prevenção de ataques de falsificação de e-mail

Voltar para a página inicial do blog
Pronto para simplificar as partes mais difíceis da TI?
Inicie seu teste gratuito
Veja uma demonstração

NinjaOne Terms & Conditions

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
I Accept